书山有路勤为径,学海无涯苦作舟网银安全缺陷与预防策略 网络银行(以下称网银)是由各银行为方便用户进行余额查询、交易查询、转账以及付款等操作而开通的网站[1]网络银行也被称为“移动的银行营业厅”截至目前,很多银行都已经开通了网银业务各个银行的网银所提供的业务大同小异,但是其使用的安全技术却存在较大差异中国银行、中国建设银行、中国工商银行和中国农业银行并称为四大国有银行,它们采取了不同的安全机制来保证用户资金的安全和网银业务的顺利进行[2] 1网络银行现在使用的安全技术 1.1中国银行 中国银行推出2种网银产品,即查询版网银产品和动态口令牌网银产品查询版网银只可对关联的账户进行资金查询和交易查询操作,功能有限但是非常安全;动态口令牌网银产品支持涉及资金变动的操作 1.1.1中国银行的主要安全技术 中国银行主要采用动态口令牌的安全技术动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法自动更新动态口令的硬件,每60秒随机更新一个密码其使用方法十分简单,在登录网银或者转账时,用户只要根据提示输入动态口令牌当前显示的动态口令即可在其他安全措施上,中国银行采用了短信登录、安全控件防范、短信提醒、预留“欢迎信息”以及交易限额控制等方法。
从资金变动业务来看,中国银行使用三道身份认证来保证用户网银中的资金安全[3] (1)第一道身份认证登录中国银行网银时使用的用户名和密码构成了第一道身份认证用户名(6~20位数字和英文字母)和密码(8~20位数字和英文字母)是只有用户才能掌握的信息,用户名和密码不匹配则无法登录 (2)第二道身份认证若用户进行涉及资金变动操作的业务,则需选择“动态口令登录”,此时动态口令牌所显示的动态密码构成第二道身份认证要件 (3)第三道身份认证在用户使用中国网银进行转账时,网银会再次要求用户输入动态口令密码和交易密码,动态口令密码是随机产生的,交易密码是用户在银行柜台设定的,这次身份验证构成了账户安全的最后一道重要屏障 1.1.2中国银行网银安全小结 中国银行网银安全小结内容见表1 1.2中国建设银行 中国建设银行提供两种网银产品,即动态口令卡(区别于动态口令牌)网银产品和U盾网银产品,2种产品都能够进行资金变动业务[4]中国建设银行不提供单纯查询版的网银产品 1.2.1动态口令卡技术的网银产品 动态口令卡是在办理业务时,银行交给用户的密码口令卡。
每张卡覆盖有30个不同的密码,每次转账使用一个,按照次序进行比如用户按次序使用第12个密码时,只需刮开使用即可然后数字证书配合动态口令卡,即可完成转账等涉及资金变动的操作需要注意的是,这个动态密码不是随机产生的,而是已经“固定”下来了动态口令卡使用2道身份认证来保证支付账户的资金安全 (1)第一道身份认证中国建设银行的身份证号码和密码认证构成了第一道身份认证相对于银行账户和密码的登录方式,该方式更有利于增强用户的安全性同时,登录界面使用图形键盘的方式输入密码,在一定程度上能够防范键盘记录木马的盗取 (2)第二道身份认证数字证书和动态口令卡中的口令构成了第二道身份认证数字证书是一个加密文档,当用户在银行柜台开通该项业务后,可在一周之内登录网站下载数字证书,数字证书具有唯一性和不可伪造性;动态口令卡中的密码也是一次一变;交易密码是用户在柜台办理时设定的 1.2.2U盾技术的网银产品 U盾则是使用独立的物理介质和U盾密码来保证网银安全U盾大小、形状都类似于U盘,由用户保管当用户办理U盾后,转账之前首先要在计算机上安装相应的U盾管理软件在用户进行转账时,U盾要插在计算机上。
转账的时候不仅要输入交易密码,也要输入U盾密码同样,U盾类型的网银产品需要经过2道身份认证才可以进行涉及资金变动交易 (1)第一道身份认证和动态口令卡网银产品一样,使用身份证号码和登录密码作为第一道身份认证 (2)第二道身份认证U构成盾第二道身份认证的要件使用U盾进行资金变动时,需同时满足3个条件:一是U盾必须要插入用户的计算机中,同时要确保计算机已经安装U盾客户端管理软件;二是转账或者支付时必须输入交易密码,该密码是用户在银行柜台设定的;三是必须输入U盾的密码3个条件缺一不可 1.2.3中国建设银行网银安全小结 中国建设银行网银安全小结内容见表2 1.3中国农业银行 中国农业银行发行2种网银产品,一种是动态口令卡网银产品,一种是飞天诚信K宝网银产品,两种产品的各自功能和特点与中国建设银行的动态口令卡和U盾基本类似[5]中国农业银行的动态口令卡不是一码一刮的,而是随机出现的,转账的时候会出现类似于H3B4这样的序列,用户查询口令卡即可输入相应密码 1.4中国工商银行 中国工商银行同样提供动态口令卡和动态口令牌两种形式的网银身份认证方式[6]。
动态口令卡类似于农业银行的动态口令卡,动态口令牌类似于中国银行的动态口令牌 2四大银行网银存在的安全隐患 2.1网银存在的安全隐患 2.1.1数字证书存在被他人提早下载的漏洞 用户在银行柜台开通网银后,如果他人获得了用户账户和密码,就可能抢在用户之前登录网银网站,抢先注册并下载数字证书虽然这样并不一定导致用户的资金被盗,但这毕竟是危险的“窗口期”[7] 2.1.2动态口令卡存在被窃取的安全威胁 口令卡至少有2个安全威胁一是有的口令卡在表膜没有刮开的情况下就可以透过保护层看到密码,只要用强光照射即可;二是如果动态口令卡采取的“固定的”动态密码而不是随机产生的,例如中国建设银行的动态口令卡,那么用户登录了钓鱼网站或者遭遇浏览器劫持,就可能将真实的动态密码提交给他人 2.1.3数字证书存在被窃取的安全威胁 数字证书是配合动态密码共同使用的一项重要的安全保护措施,但是该文件是存放在计算机中的,因此也就存在被窃取的可能早在2004年,木马Tro-janSpy.Banker.s和TrojanSpy.Banker.t就能准确识别用户银行系统保存证书的整个流程,并且自动偷取口令,复制证书文件[8]。
2.1.4U盾存在被 “远程调用”的安全威胁U盾作为独立物理介质更安全,但当用户的计算机被远程控制(例如QQ远程协助、远程控制木马)时,插在计算机上的U盾则成为了其他人盗取用户网银的“钥匙”当然,网银网站是无法甄别出用户的U盾是否遭遇冒用 2.2四大银行的网银安全漏洞 从网银产品的安全漏洞角度,可以整理出不同网银产品存在的安全威胁,如表3所示 3黑客盗取网银的方法 3.1使用综合性木马盗取网银 综合性木马是指包含键盘记录、屏幕查看、远程控制等多种功能的木马使用综合性木马可以盗取U盾系列的网银产品盗取机理:使用键盘记录功能记录下用户登录银行的用户名、密码、交易密码和U盾密码,如果用户使用屏幕键盘则采取观察屏幕的方式获取;利用用户U盾插入计算机的机会,远程控制用户计算机盗取网银 3.2使用网银木马盗取网银 网银木马盗取网银的效率更高盗取机理这类木马会自动检测用户浏览网页的网址,一旦出现网银网址就会启动键盘记录,记录账号、密码、交易密码等,并同时盗取用户计算机中的数字证书发至黑客邮箱一些网银木马还利用浏览器劫持技术在正常的网银页面中弹出“内嵌式”钓鱼网站页面,要求用户输入动态口令密码所有排列组合。
3.3使用钓鱼网站盗取网银 黑客创建高度仿真的网站,然后通过搜索引擎、门户网站、钓鱼邮件、欺骗短信等方式诱使用户访问盗取机理:一旦用户信以为真,就会将自己真实的账号和各种密码主动提交给钓鱼网站,对于随机产生口令的动态口令卡;使用坐标轮回技术或者直接诱骗用户输入全部序列口令卡的方式获取 3.4使用浏览器劫持盗取网银 盗取机理盗取思路非常简单,就是替换支付页面,用户购买商品正常情况下应当支付A页面账单,但是黑客使用浏览器劫持技术将支付页面替换成为B,由于支付页面中没有收款人姓名只有订单号码,用户不察的话就容易上当 4网银安全的重要法则 4.1安全法则 保证网银的安全并非难事,只要做到以下几点就足可以保证网银的安全[9] (1)使用安全的网银产品建议使用U盾或者动态口令牌,不建议使用动态口令卡[10]在使用网银转账时,注意在需要插入U盾的时候插入,完成转账后应立即拔出 (2)必须使用短信验证短信验证信息无疑是黑客无法获取的信息,因此短信验证能够帮助用户建立一道坚固的安全屏障 (3)准确记住网银的正确网址、付款时确认收款人姓名。
准确记住网银的正确网址,手工输入是最稳妥的方法在付款环节一定要查清收款人的姓名,在电子商务支付时一定要看清订单的金额 (4)各种类密码应不同用户的登录密码、交易密码、U盾密码、数字证书安装验证密码等诸密码要保证码码不同 (5)开启系统防火墙并且不允许例外为了防止黑客利用木马控制计算机,在计算机无其他对外服务程序的情况下,可以将系统防火墙打开并且选择“不允许例外”,这样,由于系统就会拒绝对外部提供服务,从而导致木马失效,杜绝了黑客远程控制计算机的可能 4.2网银盗取的防范措施总结 5网银安全的其他注意事项 为了保证网银的安全,除了要遵守网络安全的重要法则外,还需要注意以下几个方面: (1)使用专用网银账户可以使用新账户并开通网银,坚持“花多少、存多少”的原则,避免大金额损失 (2)使用短信通知绑定账户的短信通知可以及时了解账户的金额变化,以便采取挂失、冻结账号等及时措施 (3)定期查询账单明细定期查询账单明细,可以防止盗取者“蚂蚁搬家”式的盗取行为 (4)坚持图形键盘密码在输入密码时,如果有图形键盘则尽量使用图形键盘。
因为图形键盘相对于输入键盘安全性高 (5)不在公共计算机上使用网银除非特别需要,不要在公共计算机上使用网银 (6)及时对系统进行更新维护,定期扫描杀毒及时进行系统更新,及时更新杀毒软件病毒库,定期进行扫描杀毒,查杀木马 (7)使用网银的安全控件各个网银的安全控件对于保护密码、防止木马入侵具有一定的保护作用,应当正确使用,保证网银安全 第 9 页 共 9 页。